他山之石促我國工控系統(tǒng)信息安全

楊帆 崔崢 張雷

2010年伊朗爆發(fā)的“震網(wǎng)”病毒，感染了

包括4萬5千多個(gè)工控系統(tǒng)網(wǎng)絡(luò)。這次事件給我們敲響了警鐘，說明大型關(guān)鍵工控系統(tǒng)的應(yīng)用企業(yè)在保障工控系統(tǒng)信息安全方面仍然存在著嚴(yán)重漏洞，這對(duì)于工業(yè)生產(chǎn)運(yùn)行和國家經(jīng)濟(jì)安全構(gòu)成了巨大威脅。在此形勢(shì)下，工信部曾于2011年下發(fā)了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)〔2011〕451號(hào)）?！锻ㄖ分赋觯瑥南嚓P(guān)政府部門到各地區(qū)，包括核設(shè)施、制造業(yè)、鋼鐵、化工、石油石化、電力等關(guān)系國計(jì)民生的重要領(lǐng)域都應(yīng)當(dāng)充分認(rèn)識(shí)到工控系統(tǒng)信息安全的重要性和緊迫性。

我國工控信息安全現(xiàn)狀

國家政策及標(biāo)準(zhǔn)

為加強(qiáng)工控系統(tǒng)信息安全的保障工作，我國政府先后出臺(tái)了《關(guān)于開展重要工業(yè)控制系統(tǒng)基本情況調(diào)查的通知》（工信廳協(xié)函〔2011〕1003號(hào)）、國務(wù)院《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》（國發(fā)〔2012〕23號(hào)）等文件，發(fā)布了GB/T 26333-2010《工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、GB/T 18272-2000《工業(yè)過程測(cè)量和控制系統(tǒng)評(píng)估中系統(tǒng)特性的評(píng)定》等推薦性的國家標(biāo)準(zhǔn)。由于工控系統(tǒng)涉及的行業(yè)眾多，各行業(yè)具體的管理要求和系統(tǒng)設(shè)備的工作環(huán)境不盡相同，因此，必須深入研究我國工業(yè)控制系統(tǒng)的行業(yè)特點(diǎn)和需求，才能有針對(duì)性地制定相關(guān)行業(yè)的工業(yè)控制系統(tǒng)信息安全保障標(biāo)準(zhǔn)。

相關(guān)機(jī)構(gòu)及廠商

在工業(yè)控制系統(tǒng)信息安全機(jī)構(gòu)保障方面，國家發(fā)改委曾在2012年啟動(dòng)了工業(yè)控制系統(tǒng)安全技術(shù)國家工程實(shí)驗(yàn)室的建設(shè)工作，實(shí)施工業(yè)控制系統(tǒng)安全模擬平臺(tái)建設(shè)，研究工業(yè)控制系統(tǒng)的安全防護(hù)策略及機(jī)制，開展工業(yè)控制系統(tǒng)監(jiān)控軟件、嵌入式軟件、現(xiàn)場(chǎng)總線等方面的安全滲透與對(duì)抗、脆弱性檢測(cè)、安全評(píng)估、安全防護(hù)等關(guān)鍵技術(shù)研究。結(jié)合典型行業(yè)的工程應(yīng)用與生產(chǎn)落實(shí)，研究推動(dòng)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)體系的建立，研發(fā)用于保護(hù)工業(yè)控制系統(tǒng)的核心技術(shù)產(chǎn)品，為國家重要基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)安全管理和防護(hù)提供技術(shù)支撐。

同時(shí)，我國成立了全國工業(yè)過程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC 124），并持續(xù)跟蹤國際上工業(yè)過程測(cè)量、控制和自動(dòng)化標(biāo)及準(zhǔn)化技術(shù)委員會(huì)（IEC/TC65）的信息安全標(biāo)準(zhǔn)化活動(dòng)。2009年SAC/TC124獲得工信部批準(zhǔn)，正式立項(xiàng)啟動(dòng)3項(xiàng)IEC 62443國際標(biāo)準(zhǔn)轉(zhuǎn)化為行業(yè)標(biāo)準(zhǔn)的制定工作，并成立工業(yè)控制系統(tǒng)信息安全起草工作組。為便于工業(yè)控制系統(tǒng)信息安全評(píng)估和驗(yàn)收的實(shí)際操作，SAC/TC124又在2011年啟動(dòng)了兩項(xiàng)國家標(biāo)準(zhǔn)（“工業(yè)控制系統(tǒng)信息安全第一部分：評(píng)估規(guī)范”和“工業(yè)控制系統(tǒng)信息安全第二部分：驗(yàn)收要求”）的制定（現(xiàn)階段標(biāo)準(zhǔn)尚未發(fā)布），與國外同步開展相關(guān)工作，力求在國際標(biāo)準(zhǔn)化工作中爭(zhēng)取主動(dòng)，保障我國工業(yè)控制系統(tǒng)信息安全。

在國內(nèi)，一些優(yōu)秀的安全廠商，如綠盟科技、三零衛(wèi)士、中科網(wǎng)威、力控華康、和利時(shí)集團(tuán)等，也在保障工業(yè)控制系統(tǒng)信息安全方面進(jìn)行了一些積極探索和有益嘗試。

比對(duì)國外防護(hù)頂層設(shè)計(jì)差距

目前，國內(nèi)外都已經(jīng)紛紛開始著手工控系統(tǒng)信息安全領(lǐng)域內(nèi)的分析和研究工作。如圖1所示，美國與歐盟在工控系統(tǒng)信息安全防護(hù)方面的起步較早，并且已經(jīng)初步形成了包含計(jì)劃、標(biāo)準(zhǔn)、指南、計(jì)劃在內(nèi)的涉及多個(gè)方面的規(guī)范化理論體系。與之相比，我國的研究進(jìn)展還存在著較多不足，圖2列舉了目前我國與國外在工控系統(tǒng)信息安全方面的對(duì)比。

從世界范圍來看，由于美國的工業(yè)信息化程度較高并且曾多次遭受恐怖主義的威脅，因此美國從國家安全戰(zhàn)略層面出發(fā)制定了一系列政策措施來保障工控系統(tǒng)信息安全事業(yè)的推進(jìn)落實(shí)。其中2002年7月，布什政府正式公布了美國歷史上第一份《國土安全國家戰(zhàn)略》報(bào)告，對(duì)美國國土安全政策作出了全局性、戰(zhàn)略性規(guī)劃。該報(bào)告第一次將國土安全涉及的任務(wù)歸為六大類，明確提出要保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和重要資產(chǎn)，確保網(wǎng)絡(luò)安全。隨后，又頒布了《網(wǎng)絡(luò)空間保障國家安全戰(zhàn)略》、《反恐國家戰(zhàn)略》和《關(guān)鍵基礎(chǔ)設(shè)施與關(guān)鍵資產(chǎn)物理保障國家戰(zhàn)略》等一系列涉及基礎(chǔ)設(shè)施的安全保障政策，從而使工控系統(tǒng)信息安全上升到了國家安全戰(zhàn)略層面，并做到“有法可依”。

相比較而言，我國在此方面的相應(yīng)的政策制定較少，目前含有“工控系統(tǒng)信息安全”的法律法規(guī)或政策規(guī)章僅有2011年工信部《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)〔2011〕451號(hào)）和國務(wù)院的《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》兩個(gè)文件，并且兩個(gè)文件對(duì)工控系統(tǒng)信息安全僅僅從認(rèn)識(shí)、要求、制度、組織領(lǐng)導(dǎo)等宏觀層面予以說明，沒有細(xì)化深入指出具體的應(yīng)對(duì)措施和技術(shù)指標(biāo)，并且法律約束相對(duì)較弱。1993年頒布的《中華人民共和國國家安全法》未涉及工業(yè)控制系統(tǒng)信息安全內(nèi)容，相關(guān)法律政策有待加強(qiáng)。

比對(duì)國外其他防護(hù)措施差距

主管部門

對(duì)于工控系統(tǒng)信息安全的主管部門，美國主要以國土安全部為代表的職能部門來負(fù)責(zé)，整合了聯(lián)邦調(diào)查局、國防部、能源部、司法部等多個(gè)具體的職責(zé)部門，各部門間相互協(xié)作，各司其職。工控信息安全涉及多個(gè)領(lǐng)域，目前我國還沒有專門的針對(duì)工控系統(tǒng)信息安全的總體主管部門，僅由工信部進(jìn)行工作指導(dǎo)協(xié)調(diào)，各行業(yè)主管部門進(jìn)行各行業(yè)的監(jiān)管，相對(duì)而言缺少國家層面的整體部署及協(xié)調(diào)工作，黨的十八屆三中全會(huì)決定設(shè)立的國家安全委員會(huì)有望填補(bǔ)這個(gè)空缺。

專項(xiàng)計(jì)劃

美國發(fā)布了《國家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》（National Infrastructure Protection Plan，NIPP），并在隨后的一段時(shí)間內(nèi)陸續(xù)發(fā)布了NIPP針對(duì)各個(gè)領(lǐng)域的詳細(xì)計(jì)劃，為美國各級(jí)政府機(jī)關(guān)和私營(yíng)部門該如何管理國家重要基礎(chǔ)設(shè)施和關(guān)鍵資源提供了明確的職責(zé)劃分和實(shí)施框架。建立了涵蓋能源、電力、交通等14個(gè)行業(yè)的工控系統(tǒng)安全協(xié)調(diào)工作機(jī)制，包括建立優(yōu)先級(jí)、目標(biāo)和需求的協(xié)同方法，使各行業(yè)工控系統(tǒng)信息安全做到“分步驟、分階段、以此推進(jìn)”。我國目前尚無此類計(jì)劃。

標(biāo)準(zhǔn)指南

標(biāo)準(zhǔn)是工控系統(tǒng)信息安全“有據(jù)可循”的主要內(nèi)容，若無標(biāo)準(zhǔn)，則會(huì)陷入無處下手的尷尬境地。美國國家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布的《工控系統(tǒng)安全指南》（SP800-82）、美國國土安全部與英國國家基礎(chǔ)設(shè)施保護(hù)中心（CPNI）聯(lián)合發(fā)布的《工控系統(tǒng)安全評(píng)估指南》和《工控系統(tǒng)遠(yuǎn)程訪問配置管理指南》都為工控系統(tǒng)信息安全評(píng)估及安全管理提供了具體指導(dǎo)，具有明確的定義及操作方法，使用對(duì)象涵蓋了企業(yè)的各類人員，具有可操作性。相對(duì)而言，適用于我國的相關(guān)標(biāo)準(zhǔn)暫時(shí)還未正式發(fā)布，相關(guān)的標(biāo)準(zhǔn)正在緊鑼密鼓地制定之中。

科研支撐

除了有政策、部門、計(jì)劃、標(biāo)準(zhǔn)之外，美國還有專門的技術(shù)支撐機(jī)構(gòu)，如成立的工控系統(tǒng)應(yīng)急響應(yīng)小組（ICS-CERT）及工控系統(tǒng)聯(lián)合工作組（ICS-JWG）兩個(gè)工作組。這兩個(gè)小組全面負(fù)責(zé)與工控系統(tǒng)信息安全相關(guān)的安全問題，開展工控系統(tǒng)信息安全事件的預(yù)防、發(fā)現(xiàn)、預(yù)警和協(xié)調(diào)處置等工作，維護(hù)美國工控系統(tǒng)聯(lián)網(wǎng)環(huán)境的安全、保障其基礎(chǔ)設(shè)施工業(yè)的安全平穩(wěn)運(yùn)行。

在技術(shù)研究領(lǐng)域，美國擁有愛達(dá)荷國家實(shí)驗(yàn)室（Idaho National Laboratory，INL）、桑地亞國家實(shí)驗(yàn)室（Sandia National Laboratories，SNL）等諸多專門從事工控系統(tǒng)信息安全的國家及實(shí)驗(yàn)室，從人力、物力、財(cái)力等方面全面支持有關(guān)工控信息安全的理論技術(shù)研究，為后續(xù)提供可持續(xù)的發(fā)展保證。

此外，美國國家Idaho實(shí)驗(yàn)室已經(jīng)建立了國家工控系統(tǒng)測(cè)試床（National SCADA Test Bed），其中模擬了大型工業(yè)控制設(shè)備的運(yùn)行，并進(jìn)行了大量測(cè)試。

而這些有關(guān)的技術(shù)支撐項(xiàng)目、科學(xué)實(shí)驗(yàn)研究和模擬平臺(tái)建設(shè)，我國都還處在尚未明確或計(jì)劃建設(shè)中。

綜上所述，我國的工業(yè)控制系統(tǒng)信息安全工作現(xiàn)在仍然處于探索與起步階段，整體上的工作機(jī)制尚未完全建立，廠商、研究機(jī)構(gòu)及企業(yè)各自為政，在國家層面缺乏系統(tǒng)化、體系化的計(jì)劃規(guī)范。因此，需要從全局的角度出發(fā)，找準(zhǔn)著眼點(diǎn)，通過制定策略、頂層設(shè)計(jì)、確立標(biāo)準(zhǔn)、完善體系、探索方法、健全機(jī)制等手段，堅(jiān)持以“政府主導(dǎo)、企業(yè)主體、機(jī)構(gòu)支撐”為原則，通過多方協(xié)作、共同努力，共同推進(jìn)工業(yè)控制系統(tǒng)信息安全工作，保障工業(yè)基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行。

（作者單位：陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心）